Andariel Criminal Group

Andariel 犯罪集团是一个由国家支持的威胁行为者，一直专注于针对位于韩国的实体。网络犯罪分子在其业务中也表现出出于经济动机的一面。此前，该组织直接针对韩国的 ATM 机，而在该组织发起的最新严重攻击中，黑客向其中一名受害者部署了勒索软件威胁。应该指出的是，安达里亚犯罪集团已被韩国金融安全研究所指定为 Lazarus APT （高级持续威胁）集团的子集团。

到目前为止，安达利尔犯罪集团的受害者之间几乎没有任何联系。每个受害者都活跃在各自的垂直领域，与任何其他目标实体没有明确的联系。信息安全研究人员已经发现了在制造、媒体、建筑和家庭网络服务部门工作的团体的受害者。

复杂的攻击链

Andariel 犯罪集团开展的行动不断演变并变得更加复杂。最新观察到的活动由多个专门的损坏有效载荷组成，每个都部署在攻击的单独阶段。黑客使用武器化文档文件作为入侵的初始载体。这些文件旨在执行复杂的感染方法，使检测变得更加困难。虽然在大多数情况下，会向受害者发送武器化的 Microsoft Word 文档，但也有一些实例表明安达利尔犯罪集团使用伪装成 PDF 文档的损坏文件。执行后，这些文件会提供第二阶段的有效载荷——一种恶意软件威胁，负责与命令和控制（C2、C&C）服务器建立联系并为下一个有效载荷准备环境。

第二阶段恶意软件可以根据它从 C2 接收到的命令执行 5 个特定功能。这些包括设置睡眠间隔、将任何接收到的数据保存在本地文件中、通过 CreateThread() 执行接收到的数据以及通过 WinExec API 或 cmd.exe 执行给定的命令。在攻击的第三阶段，Andariel 犯罪集团将后门负载部署到受害者的机器上。后门在操作中交互执行，包含x64和x86版本。该威胁试图通过使用 Internet Explorer 或 Google Chrome 的图标和相关文件名将自己伪装成 Internet Explorer 或 Google Chrome。第三阶段威胁扫描受感染系统以寻找沙盒环境的迹象。它检查是否存在属于 Sandboxie 和 SunBelt SandBox 的特定模块。

对于一个受害者，Andariel 犯罪集团通过投放定制的勒索软件威胁来升级攻击。该恶意软件使用 AES-128 CBC 模式算法来加密所有文件，无论其大小如何，系统关键扩展名除外，例如".exe"、".dll"、".sys"、".msiins"和" .drv.'附加到锁定文件的默认扩展名是".3nc004"，这也是带有赎金记录的文本文件的名称。该笔记的文本显示，黑客希望收到以比特币支付的赎金，并提出免费解密两个文件。